引言:
近年時有企業外洩客戶或公司資料。有見及此,部分公司着手建立及執行有效的資訊安全管理體系(Information Security Management System,簡稱ISMS),並且透過申請ISO/IEC 27001資訊安全管理系統認證,以助確保資訊資產獲得充分保護。究竟ISMS涉及哪些業務層面?本地中小企應如何正視資訊保安的問題?
內文:
資訊安全管理體系(ISMS)是為了確保資訊獲得恰當處理和保護而設計。然而,由於資訊可以透過不同的形式存在,例如電腦檔案及所有實體文件檔案,包括影像、聲音等的資料,因此要妥善地安全管理資訊,往往比想像中困難。
根據2015年度ISO管理體系認證證書調查報告的統計資料,ISO/IEC 27001 自從第一版於 2005 年推出,並於同年引入香港以來,至今在本地共發出了 141 張證書。何志誠坦言,數字反映本地企業及機構可能基於不同原因,忽略加強資訊保安的重要性。他建議本地企業盡早推行系統化的資訊管理,避免因資料外洩而造成聲譽或財務上的損失:「資訊外洩少則導致客戶取消訂單,損害其市場地位及競爭優勢,嚴重者則可能須要面對法律訴訟,影響企業的長遠發展及因賠償而影響財政。」
香港中小型企業總商會常務副會長楊全盛指出,一般中小企老闆或因對 IT 欠缺足夠認識而低估了資訊外洩對公司的影響。不少中小企的老闆會將資訊保安事宜全權交由電腦部同事自行處理,而管理層則甚少參與其中;而部分中小企更以為投放了額外開支購買電腦保安軟件及硬件,便等同於做足了預防措施,但其實這些做法未必能全面保障公司的資訊。
他解釋:「一套完善的 ISMS 必須由企業內部全員作出配合,尤其是管理層的深度參與更為重要。若果管理層只依靠電腦部門主管去實施ISMS,而日後卻未有持續監察和改良系統,最終難免事倍功半。因此,管理層同樣須要積極參與並在政策上作出配合,帶領員工深入了解資訊安全風險對機構的影響和嚴重性,同時制訂日常工作規範及程序,提高員工的意識和警覺,方能全面提升資訊保安。」
他建議中小企在申請 ISO/IEC 27001 認證前,不妨考慮本地認證業界為企業提供的支援服務,例如參加培訓課程和研討會等:「畢竟中小企面對的資訊保安問題一般都大同小異,與其在毫無概念的情況下自行摸索,倒不如在專家指導下有系統地審視業務流程,更快找出容易出現資訊保安漏洞的地方從而對症下藥,省卻時間即等同節省開支。事實上,中小企架構相對簡單,實施ISMS更為容易。就長遠回報而言,中小企投放在ISMS的資源實為投資而非支出,提升資訊保安能對企業的未來發展帶來顯著裨益。」
CAPTIONS
A1:香港品質保證局副主席何志誠說,及早採取適當的資訊保安預防措施,有助企業避免聲譽或財務上的損失。
A2:香港中小型企業總商會常務副會長楊全盛表示,中小企在申請 ISO/IEC 27001 認證前可考慮本地認證業界為企業提供的支援服務。
A3:香港檢測和認證局及香港認可處早前合辦ISO / IEC 27001 資訊安全管理體系工作坊,加強業界對於ISO/IEC 27001的認識。
(資料由客戶提供)